如果你和許多的首席信息官所處的境遇一樣，遵章要求﹝Compliance Requirements﹞已經(jīng)影響了你整個(gè)機(jī)構(gòu)--而且你的審計(jì)員已經(jīng)做出了一些令你意想不到的要求，你也因此花費(fèi)了比你想象中更多的費(fèi)用。

通過(guò)一年在他們各自領(lǐng)域的Sarbanes-Oxley經(jīng)驗(yàn)，IT執(zhí)行官們已經(jīng)在準(zhǔn)備審計(jì)員的過(guò)程中吸取到了寶貴的經(jīng)驗(yàn)，比如要在審計(jì)員達(dá)到之前先要建立相當(dāng)?shù)暮饬繕?biāo)準(zhǔn)。

由Information Technology Process Institute頒布的 The Visible Ops Handbook手冊(cè)里專門為"增加你的審計(jì)透明度"準(zhǔn)備了一章內(nèi)情報(bào)告。

Information Technology Process Institute是一個(gè)非營(yíng)利性團(tuán)體，它所開展的主要活動(dòng)是進(jìn)行研究，標(biāo)桿以及給執(zhí)行官提供最優(yōu)方法。據(jù)該團(tuán)體的主席兼創(chuàng)始人Kevin Behr說(shuō)，到目前為止，這本價(jià)值19.95美元的手冊(cè)已經(jīng)銷售出了17,000本。以下就是從這本手冊(cè)中摘錄出來(lái)的其中最受歡迎的小抄之一中的一部分。

1.在審計(jì)員作審計(jì)之前先問(wèn)清楚他們?cè)谄诖裁?。讓他們想清楚審?jì)的目標(biāo)，即是有時(shí)候他們已經(jīng)做了一些審計(jì)前的清單。

2.確保列出你能預(yù)期到各種風(fēng)險(xiǎn)。分門別類，按降序排列，把風(fēng)險(xiǎn)最大的排在第一位，順便附上要降低這些風(fēng)險(xiǎn)你所想到的控制管理方法。

3.確保你擁有預(yù)防性控制，以及在適當(dāng)?shù)奈恢糜袀商叫缘目刂苼?lái)指示他們?cè)诠ぷ?。確保變動(dòng)管理進(jìn)程。對(duì)于每個(gè)認(rèn)證過(guò)的變動(dòng)，通過(guò)探測(cè)性的控制來(lái)記錄這些結(jié)構(gòu)的變化，保證這些變化在工作次序的范圍之內(nèi)。對(duì)收集來(lái)的變化請(qǐng)求數(shù)據(jù)進(jìn)行歸檔，并且隨時(shí)可以取得。在某些機(jī)構(gòu)，上述所有的信息都儲(chǔ)存在一個(gè)物理三環(huán)捆綁者內(nèi)(physical three-ring binder)。

4.選擇使用變動(dòng)咨詢桌(Change Advisory Board)會(huì)議記錄來(lái)指示有人正在參加會(huì)議以及管理各種變動(dòng)。

5.保持做出一個(gè)連續(xù)的并且準(zhǔn)確的硬件和軟件的資產(chǎn)詳細(xì)目錄

6.確保所有的內(nèi)部審計(jì)程序運(yùn)行正常。比如你的路線表明你的防火墻日志是由可以回顧例外的系統(tǒng)控制的，那么你必須能夠通過(guò)其中的一個(gè)日志來(lái)驗(yàn)證下一個(gè)路線。

7.弄清所有的儲(chǔ)運(yùn)損耗和系統(tǒng)中的不在計(jì)劃內(nèi)的停工期，附上采取的矯正行動(dòng)。

8. 保持連續(xù)的記錄，記錄下所有的政策外的特殊情況

9.列出任何安全事件，附上采取的矯正行動(dòng)。

10. 確保能夠出示以前的審計(jì)結(jié)果，能夠?qū)λ媒Y(jié)果做出分析，經(jīng)過(guò)矯正行動(dòng)后結(jié)果取得了什么進(jìn)步。

“更多的控制并補(bǔ)等同于更多的機(jī)構(gòu)組織和更多的工作?！盉ehr說(shuō)，“事實(shí)表明，那些帶有控制的可以做得更多，而只需要跟少的機(jī)構(gòu)和工作，可以更快的完成工作，而且質(zhì)量更為優(yōu)越?！?/P>